Om sikkerhetsinnholdet i OS X Yosemite v10.10.2 og sikkerhetsoppdatering 2015-001

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Yosemite v10.10.2 og sikkerhetsoppdatering 2015-001

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

OS X Yosemite v10.10.2 og sikkerhetsoppdatering 2015-001

  • AFP Server

    Tilgjengelig for: OS X Mavericks v10.9.5

    Virkning: En ekstern angriper kan være i stand til å fastslå alle nettverksadressene i systemet

    Beskrivelse: AFP-filtjeneren støttet en kommando som returnerte alle nettverksadressene i systemet. Problemet ble løst ved å fjerne adressene fra resultatet.

    CVE-ID

    CVE-2014-4426: Craig Young i Tripwire VERT

  • bash

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Flere sårbarheter i bash, inkludert en som kan gi lokale angripere mulighet til å utføre vilkårlig kode

    Beskrivelse: Det var flere sårbarheter i bash. Problemene ble løst ved å oppdatere bash til oppdateringsnivå 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en signedness-feil for heltall i IOBluetoothFamily som åpnet for manipulering av kjernehukommelse. Problemet ble løst gjennom forbedret grensekontroll. Problemet gjelder ikke OS X Yosemite-systemer.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en feil i Bluetooth-driveren som gjorde det mulig for et skadelig program å bestemme størrelsen ved skriving til kjernehukommelse. Problemet ble løst gjennom ekstra validering av inndata.

    CVE-ID

    CVE-2014-8836: Ian Beer i Google Project Zero

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere sikkerhetsproblemer i Bluetooth-driveren, som gjør det mulig for et skadelig program å utføre vilkårlig kode med systemrettigheter. Problemene ble løst gjennom ekstra validering av inndata.

    CVE-ID

    CVE-2014-8837: Roberto Paleari og Aristide Fattori i Emaze Networks

  • CFNetwork-buffer

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Nettsidebufferen blir kanskje ikke fullstendig tømt etter privat nettlesing

    Beskrivelse: Det var et personvernproblem der nettlesingsdata kunne bli liggende i bufferen etter privat nettlesing. Problemet ble løst gjennom en endring i bufferens virkemåte.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano i Binamuse VRT, via iSIGHT Partners GVP-programmet

  • CPU-programvare

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1, for: MacBook Pro Retina, MacBook Air (midten av 2013 og nyere), iMac (sent 2013 og nyere), Mac Pro (sent 2013)

    Virkning: En skadelig Thunderbolt-enhet kan være i stand til å påvirke firmware-flashing

    Beskrivelse: Thunderbolt-enheter kunne modifisere vertsfirmware hvis de ble koblet til under en EFI-oppdatering. Problemet ble løst ved ikke å laste inn ekstrautstyrs-ROM under oppdatering.

    CVE-ID

    CVE-2014-4498: Trammell Hudson i Two Sigma Investments

  • CommerceKit-rammeverk

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: En angriper med tilgang til et system kan være i stand til å gjenopprette Apple-ID-akkreditiver

    Beskrivelse: Det var et problem med håndteringen av App Store-logger. App Store-prosessen kunne føre Apple-ID-akkreditiver i loggen når ekstra loggføring var aktivert. Problemet ble løst ved å deaktivere loggføring av akkreditiver.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Noen tredjeparts programmer med usikre tekstregistrerings- og musehendelser kan loggføre disse hendelsene

    Beskrivelse: På grunn av kombinasjonen av en ikke-initialisert variabel og et programs tilpassede tildeler, kan usikre tekstregistrerings- og musehendelser ha blitt loggført. Problemet ble løst ved å sørge for at loggføring er av som standard. Problemet gjaldt ikke for systemer som er eldre enn OS X Yosemite.

    CVE-ID

    CVE-2014-1595: Steven Michaud i Mozilla i samarbeid med Kent Howard

  • CoreGraphics

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll. Problemet gjelder ikke OS X Yosemite-systemer.

    CVE-ID

    CVE-2014-8816: Mike Myers i Digital Operatives LLC

  • CoreSymbolication

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere typeforvekslingsproblemer i coresymbolicationds håndtering av XPC-meldinger. Problemene ble løst gjennom forbedret typekontroll.

    CVE-ID

    CVE-2014-8817: Ian Beer i Google Project Zero

  • FontParser

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Behandling av en skadelig .dfont-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av .dfont-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah som arbeider med HPs Zero Day Initiative

  • FontParser

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Visning av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en bufferoverflyt i XML-behandleren. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Flere sårbarheter i Intel Graphics-driver

    Beskrivelse: Det var flere sårbarheter i Intel Graphics-driveren, der den mest alvorlig kunne ha ført til utføring av vilkårlig kode med systemrettigheter. Denne oppdateringen løser problemene gjennom ekstra grensekontroll.

    CVE-ID

    CVE-2014-8819: Ian Beer i Google Project Zero

    CVE-2014-8820: Ian Beer i Google Project Zero

    CVE-2014-8821: Ian Beer i Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en dereferanse til en tom peker i IOAcceleratorFamilys håndtering av visse IOService-brukerklienttyper. Problemet ble løst gjennom forbedret validering av IOAcceleratorFamily-kontekster.

    CVE-ID

    CVE-2014-4486: Ian Beer i Google Project Zero

  • IOHIDFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var bufferoverflyt i IOHIDFamily. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et valideringsproblem i IOHIDFamilys håndtering av ressurskømetadata. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en dereferanse til en tom peker i IOHIDFamilys håndtering av hendelseskøer. Problemet ble løst gjennom forbedret validering av initialiseringen av IOHIDFamil-hendelseskøer.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

    Beskrivelse: Det var et grensekontrollproblem i en brukerklient fra IOHIDFamily-driveren som gjorde det mulig for et skadelig program å overskrive vilkårlige deler av kjerneadresseområdet. Problemet ble løst ved å fjerne den sårbare brukerklientmetoden.

    CVE-ID

    CVE-2014-8822: Vitaliy Toropov som arbeider med HPs Zero Day Initiative

  • IOKit

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-4389: Ian Beer i Google Project Zero

  • IOUSBFamily

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Et privilegert program kan kanskje lese vilkårlige data fra kjernehukommelsen

    Beskrivelse: Det var et problem med hukommelsestilgangen i håndteringen av IOUSB-kontrollerens brukerklientfunksjoner. Problemet ble løst gjennom forbedret validering av argumenter.

    CVE-ID

    CVE-2014-8823: Ian Beer i Google Project Zero

  • Kerberos

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Kerberos libgssapi-biblioteket returnerte et kontekstkjennetegn med en dinglende peker. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2014-5352

  • Kjerne

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Angivelse av en tilpasset buffermodus gjorde det mulig å skrive til delte skrivebeskyttede hukommelsessegmenter i kjernen. Problemet ble løst ved ikke å gi skrivetillatelse som en bieffekt ved noen tilpassede buffermoduser.

    CVE-ID

    CVE-2014-4495: Ian Beer i Google Project Zero

  • Kjerne

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: En lokal angriper kan forfalske svar fra katalogtjenesten til kjernen, heve rettigheter og få tilgang til kjerneutføring

    Beskrivelse: Det var problemer i identitysvc-valideringen av prosessen med løsing av katalogtjenester, flagghåndtering og feilhåndtering. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2014-8825: Alex Radocea i CrowdStrike

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: En lokal bruker kan bli i stand til å bestemme oppsett av kjernehukommelse

    Beskrivelse: Det var flere problemer med ikke-initialisert hukommelse i grensesnittet for nettverksstatistikk, som førte til at innhold i kjernehukommelsen ble avdekket. Problemet ble løst gjennom ekstra initialisering av hukommelse.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna i Google Security Team

    CVE-2014-4419: Fermin J. Serna i Google Security Team

    CVE-2014-4420: Fermin J. Serna i Google Security Team

    CVE-2014-4421: Fermin J. Serna i Google Security Team

  • Kjerne

    Tilgjengelig for: OS X Mavericks v10.9.5

    Virkning: En person i en privilegert nettverksposisjon kan kanskje forårsake tjenestenekt

    Beskrivelse: Det var et problem med en race-tilstand i håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret låsetilstandskontroll.

    CVE-ID

    CVE-2011-2391

  • Kjerne

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Skadelige eller kompromitterte programmer kan være i stand til å finne adresser i kjernen

    Beskrivelse: Det var et problem med fremlegging av informasjon i håndteringen av APIer knyttet til kjerneutvidelser. Svar som innholdt en OSBundleMachOHeaders-nøkkel, kan ha inkludert kjerneadresser, noe som kan bidra til omgåelse av beskyttelsen et randomisert adresseområdeoppsett gir. Dette problemet ble løst ved "unsliding" av adressene før de blir returnert.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kjerne

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IOSharedDataQueue-objekter. Problemet ble løst gjennom omplassering av metadata.

    CVE-ID

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: En skadelig JAR-fil kan omgå Gatekeeper-kontroller

    Beskrivelse: Det var et problem i håndteringen av programåpning som gjorde det mulig for visse skadelige JAR-filer å omgå Gatekeeper-kontroller. Problemet ble løst gjennom forbedret håndtering av filtypemetadata.

    CVE-ID

    CVE-2014-8826: Hernan Ochoa i Amplia Security

  • libnetcore

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: En skadelig app som er plassert i sandkassen, kan kompromittere networkd-daemonen.

    Beskrivelse: Det var flere typeforvekslingsproblemer i networkds håndtering av kommunikasjon mellom prosesser. Det kan ha vært mulig å utføre vilkårlig kode som networkd-prosessen ved å sende networkd en skadelig formatert melding. Problemet er løst gjennom ekstra typekontroll.

    CVE-ID

    CVE-2014-4492: Ian Beer i Google Project Zero

  • Påloggingsvindu

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: En Mac låser seg kanskje ikke umiddelbart når den våkner

    Beskrivelse: Det var et problem i gjengivelsen av låst skjerm. Problemet ble løst gjennom bedre gjengivelse av skjermen når den er låst.

    CVE-ID

    CVE-2014-8827: Xavier Bertels i Mono og flere OS X-seedtestere

  • lukemftp

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Bruk av ftp-verktøyet for kommandolinjen til å hente filer fra en skadelig http-tjener kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med injeksjon av kommandoer i håndteringen av HTTP-omdirigering. Problemet ble løst gjennom forbedret validering av spesialtegn.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 and v10.10.1

    Virkning: Bruk av ntp-daemonen med kryptografisk godkjenning aktivert kunne føre til informasjonslekkasjer

    Beskrivelse: Det problemer med validering av inndata i ntpd. Problemene ble løst gjennom forbedret datavalidering.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 and v10.10.1

    Virkning: Flere sårbarheter i OpenSSL 0.9.8za, inkludert en som kan gjøre en angriper i stand til å nedgradere forbindelser til bruk av svakere chiffersamlinger i programmer som bruker biblioteket

    Beskrivelse: Det var flere sårbarheter i OpenSSL 0.9.8za. Disse problemene ble løst ved å oppdatere OpenSSL til versjon 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandkasse

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Virkning: Et prosess i sandkassen kan være i stand til å omgå sandkasserestriksjoner

    Beskrivelse: Det var et designproblem i bufringen av sandkasseprofiler som ga programmer i sandkassen skrivetilgang til bufferen. Problemet ble løst ved å begrense skrivetilgang til baner som inneholder segmentet «com.apple.sandbox». Problemet gjelder ikke OS X Yosemite v10.10 eller nyere.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Virkning: Et skadelig program kunne utføre vilkårlig kode som førte til kompromittering av brukerinformasjon

    Beskrivelse: Det var flere problemer med skriving utenfor grensene i SceneKit. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-8829: Jose Duart i Google Security Team

  • SceneKit

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Visning av en skadelig Collada-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heap-bufferoverflyt i SceneKits håndtering av Collada-filer. Visning av en skadelig Collada-fil kan ha ført til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet ble løst gjennom forbedret validering av tilgangselementer.

    CVE-ID

    CVE-2014-8830: Jose Duart i Google Security Team

  • Sikkerhet

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et nedlastet program signert med et tilbakekalt utvikler-ID-sertifikat kan omgå Gatekeeper-kontroller

    Beskrivelse: Det var et problem med hvordan sertifikatinformasjon for bufrede programmer ble vurdert. Problemet ble løst med forbedringer i bufferlogikken.

    CVE-ID

    CVE-2014-8838 : Apple

  • security_taskgate

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: En app kan få tilgang til nøkkelringobjekter som hører til andre apper

    Beskrivelse: Det var et problem med tilgangskontroll i Nøkkelring. Programmer signert med egensignerte eller utvikler-ID-sertifikater kunne få tilgang til nøkkelringobjekter med tilgangskontrollister basert på nøkkelringgrupper. Problemet ble løst ved å validere signeringsidentiteten når det gis tilgang til nøkkelringgrupper.

    CVE-ID

    CVE-2014-8831: Apple

  • Spotlight

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Avsenderen av e-post kunne fastslå IP-adressen til mottakeren

    Beskrivelse: Spotlight kontrollerte ikke status for Mail-innstillingen «Last inn eksternt innhold i meldinger». Problemet ble løst gjennom forbedret konfigurasjonskontroll.

    CVE-ID

    CVE-2014-8839: John Whitehead i The New York Times, Frode Moe i LastFriday.no

  • Spotlight

    Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 and v10.10.1

    Virkning: Spotlight kan arkivere uventet informasjon på en ekstern harddisk

    Beskrivelse: Det var et problem i Spotlight der innhold i hukommelsen kan ha blitt skrevet til eksterne harddisker under indeksering. Problemet ble løst gjennom bedre hukommelsesstyring.

    CVE-ID

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Spotlight kan vise resultater for filer som ikke tilhører brukeren

    Beskrivelse: Det var et deserialiseringsproblem i Spotlights håndtering av rettighetsbufre. En bruker som utfører et Spotlight-søk, kan ha blitt vist søkeresultater som refererer til filer som de ikke har tilstrekkelige rettigheter til å lese. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-8833: David J Peacock, uavhengig teknologikonsulent

  • sysmond

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var en typeforvekslingssårbarhet i sysmond som ga et lokalt program mulighet til å eskalere rettigheter. Problemet ble løst gjennom forbedret typekontroll.

    CVE-ID

    CVE-2014-8835: Ian Beer i Google Project Zero

  • UserAccountUpdater

    Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1

    Virkning: Utskriftsrelaterte valgfiler kan inneholde sensitiv informasjon om PDF-dokumenter

    Beskrivelse: OS X Yosemite v10.10 løste et problem i håndteringen av passordbeskyttede PDF-filer opprettet via Skriv ut-dialogen der passord kan ha blitt inkludert i utskriftsvalgfiler. Denne oppdateringen fjerner slik uvedkommende informasjon som kan ha forekommet i utskriftsvalgfiler.

    CVE-ID

    CVE-2014-8834: Apple

Merk: OS X Yosemite 10.10.2 inkluderer sikkerhetsinnholdet i Safari 8.0.3.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: